Unternehmen sehen sich mit einer rasant wachsenden Bedrohungslandschaft konfrontiert. Die Gründe sind vielfältig, insbesondere die fortschreitende Digitalisierung, Vernetzung innerhalb der Supply Chain, Cloud-Nutzung, Remote-Arbeit sowie neuen Technologien sind dafür verantwortlich. Die höchste Gefahrenstufe ist erreicht. Cyberattacken zählen zu den grössten operationellen Unternehmensrisiken.

Es sind aber auch positive Entwicklungen sichtbar: Das Bewusstsein für die dringende Notwendigkeit von Cybersicherheit ist gewachsen. Viele Unternehmen haben – auch auf Ebene des Top Managements, sprich der Geschäftsleitung und des Verwaltungsrates – in verstärkte Sicherheitsmassnahmen investiert. Zurecht.

Gerade auch weil immer strengere nationale und internationale Vorschriften und Compliance-Anforderungen wie CRA, DORA, DSG/DSGVO, FINMA oder NIS2 von Schweizer Unternehmen fordern, ihre Cybersicherheit kontinuierlich zu optimieren. Cybersicherheit ist mehr als nur eine gesetzliche Auflage, sondern eine strategische Notwendigkeit für jede Organisation.

Die NIS2-Richtlinie der EU zielt darauf ab, ein besseres gemeinsames Cyber-Sicherheitsniveau zu schaffen und insbesondere die Cyberresilienz kritischer Infrastrukturen (KRITIS) zu stärken. Eine Nichterfüllung hat massive Sanktionen zur Folge. Ganz zu schweigen, dass Cybervorfälle existenzbedrohende Schäden verursachen und in einem massiven Reputationsverlust resultieren.

Die operationelle Resilienz gegen Cyberangriffe rückt in den Fokus. Sie umfasst die Erkennung und Reaktion auf Attacken, deren Bewältigung sowie das Sicherstellen der Betriebskontinuität bzw. die schnelle Wiederherstellung der Handlungsfähigkeit. Von Unternehmen werden u.a. ein Notfall- und Krisenmanagement, Incident-Response-Pläne sowie die Erkennung und Reaktion auf Cyberangriffe gefordert.

IT- und Sicherheitsverantwortliche von Schweizer Unternehmen sollten sich folgende Fragen stellen:

Die Antworten auf diese Fragen und alle nötigen und gefragten Kompetenzen vereint ein dediziertes Security Operations Center (SOC). Hier wird das erfolgreiche Zusammenspiel von Personen, Tools und Prozesse gebündelt und hilft Unternehmen, sich effizient und effektiv vor Cyberangriffen zu schützen. Die erfolgreiche Grundlage dafür bildet häufig und zurecht ein 24/7 Managed Detection & Response (MDR) Service, der rund um die Uhr für umfassenden Schutz sorgt.

Unsere Erfahrung und die Rückmeldungen von zahlreichen Unternehmen zeigen eines auf: Die Notwendigkeit eines SOC und integriertem MDR-Service wird zwar erkannt und als die optimale Lösung angesehen. Es stellt jedoch für viele Unternehmen eine gros-se Herausforderung dar. Die Krux liegt einerseits darin, entsprechende Fachkräfte zu rekrutieren. Andererseits bedeutet der Aufbau und 24/7-Betrieb eines SOC eine beträchtliche Investition und benötigt Sicherheitsfachleute mit langjähriger Erfahrung, eingespielte Prozesse und führende Technologien. Ein Unterfangen, das sich sehr viele Unternehmen schlicht nicht leisten wollen – oder können.

Die Anforderungen an ein Security Operations Center sind komplex und vielschichtig. So muss ­dieses rund um die Uhr Cyberattacken entdecken, analysieren, bewerten und umgehend darauf reagieren können. Und im Ereignisfall den Incident-Response-Prozess starten. Im Make-or-Buy-Entscheid sind für Unternehmen drei Fragen von zentraler Bedeutung:

Die Erfahrung zeigt: Ein eigenes SOC ist ein Kraftakt und gleichzeitig eine nicht zu unterschätzende finanzielle Belastung. Die Überlegung lohnt sich, diese anspruchsvolle Aufgabe und Leistungen von einem professionellen, erfahrenen Managed Detection & Response-Dienstleister zu beziehen oder Teilaufgaben im Sinne eines Co-managed SOC auszulagern.

Oberste Priorität geniesst dabei die Rund-um-die-Uhr-Überwachung der gesamten Infrastruktur. Dafür ist ein integriertes Computer Security Incident Response Team (CSIRT) unabdingbar. Diese Spezialisten sind bei einem Sicherheitsvorfall für die rasche Wiederherstellung Ihrer Handlungsfähigkeit und damit die Minimierung des Business-Impacts verantwortlich. Insbesondere bei Incident Respondern ist Erfahrung Trumpf. Externe Spezialisten nehmen im Krisenstab eine zentrale Rolle ein, coachen Unternehmen, leiten die forensischen Untersuchungen, übernehmen die Interaktion mit den Behörden, unterstützen in der Krisenkommunikation und führen allfällige Verhandlungen mit den Cyberkriminellen.

Egal für welche Lösung Sie sich entscheiden, ob Sie die Cyberabwehr eigenständig übernehmen oder ­einem professionellen Sicherheitsdienstleister ­anvertrauen: Entscheidend ist die Auswahl agiler ­Sicherheitslösungen. Und es bedarf einer perfekten Abstimmung der drei Komponenten People, Process & Technology.

Die Zeit drängt. Um nochmals auf die neue NIS2-Richtlinie zurückzukommen: Diese muss bereits bis Oktober 2024 von den (betroffenen) Unternehmen vollzogen werden. Unternehmen sind gut beraten, externe Cybersicherheits-Experten hinzuzuziehen, um die Anforderungen erfolgreich umzusetzen und den Einsatz eines SOC zu prüfen.

Patrick Inderkum ist Head of Cyber Defence bei InfoGuard AG.

Quelle: InfoGuard

Patrick Inderkum: Cybercrime ist Realität und bleibt eine Herausforderung. Die Bedrohungslage entwickelt sich rasch weiter. Laut dem Cisco Cybersecurity Readiness Index 2024 waren in den letzten 12 Monaten 45 Prozent der befragten Schweizer Unternehmen von einer Cyberattacke betroffen. Auch unser CSIRT verzeichnete mit 260 IR-Fällen einen Anstieg gegenüber dem Vorjahr von mehr als 65 %!

Inderkum: Die Tatsache ist alarmierend und beunruhigend zugleich: Jedes Unternehmen ist bedroht – unabhängig von der Grösse und Branche. Die Zeiten, als nur grosse Unternehmen das Ziel von Cyberangriffen waren, sind definitiv vorbei.

Inderkum: Im Ernstfall entscheidend, ist ein ausgewogenes Sicherheitsdispositiv, das Verhinderung, Erkennung und Reaktion (Prevention, Detection and Response) einschliesst. Ganz wichtig dabei: Unternehmen müssen nicht nur in präventive Massnahmen investieren, sondern sich auch für die Wiederherstellung der IT (Recovery) im Falle eines Sicherheitsvorfalls vorbereiten.

Inderkum: Sowohl für Prevention, Detection und Response gilt: Viele Unternehmen sind nicht dazu in der Lage, dies eigenständig zu managen und in einer Krisensituation effektiv zu reagieren.

Inderkum: Meistens fehlt ihnen das nötige Know-how, oder es scheitert an Ressourcenmangel, fehlendem Budget oder aber, absolut verständlicherweise, wegen emotionaler Überforderung. Daher ist es ratsam, externe Spezialisten hinzuzuziehen.

Inderkum: Eine sehr wichtige. Die Angriffe werden immer raffinierter, komplexer und setzen neue Technologien ein. Um ein Unternehmen erfolgreich zu schützen, sind KI-getriebene Lösungen notwendig, welche mittels maschinellem Lernen anpassungsfähig sind und direkt an den Endpunkten ansetzen. Derartige Lösungen müssen in einem SOC bzw. MDR-Service zwingend integriert sein und im Einsatz stehen.

Inderkum: Hauptsächlich sind es die grossen Unternehmen. Die Mehrheit will (und kann) sich kein eigenes Security Operations Center leisten. Ich bin davon überzeugt, dass ein Co-Managed-Ansatz genau richtig ist. Ein Managed Detection & Response-Dienstleister verfügt über viel Erfahrung, gebündeltes Fachwissen, neueste Technologien und Automatisierungen und agiert routiniert und ruhig. Und, der entscheidende Punkt: Dank der Schwarmintelligenz von meist Hunderten Kunden und täglich Tausenden von Sicherheitsereignissen ist der bestmögliche Schutz und die schnellstmögliche Reaktion garantiert.

Inderkum: Ein fortschrittliches, modernes Security Operations Center basiert und operiert auf einer offenen XDR-Architektur. Es arbeitet nahtlos mit Ihrem individuellen und bestehenden Technologie-Stack zusammen. Zudem muss sichergestellt sein, dass Bedrohungen aus allen Blickwinkeln 24/7 erkannt und Daten von Endgeräten, Netzwerken, IoT-/OT-Infrastrukturen, Cloudumgebungen und Identitäten erfasst werden. Durch die Nutzung unterschiedlicher Erkennungsmethoden, einschliesslich Machine Learning, sollten MDR-Services schnell Anomalien und verdächtige Verhaltensweisen aufdecken und mit Erkenntnissen aus aktuellen Sicherheitsvorfällen, simulierten Cyberattacken und Threat-Intelligence-Feeds anreichern können.